Wednesday, December 27, 2006

Incorrect Insider Threat Perceptions

Search my blog for "insider threat" and you'll find plenty of previous posts. I wanted to include this post in my earlier holiday reading article, but I'd figure it was important enough to stand alone. I'm donning my flameproof suit for this one.

The cover story for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 December 2006 Information Secuirty magazine, Protect What's Precious by Marcia Savage, clued me into what's wrong with security managment and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir perceptions. This is how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article starts:

As IT director at a small manufacturer of specialized yacht equipment, Michael Bartlett worries about protecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 firm's intellectual property from outsiders. But increasingly, he's anxious about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat posed by trusted insiders.

His agenda for 2007 is straightforward: beef up internal security.

"So far, we've been concentrating on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 perimeter and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 firewall, and protecting ourselves from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outside world," says Bartlett of Quantum Marine Engineering of Florida. "As cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company is growing, we need to take better steps to protect our data inside."

Bartlett voices a common concern for many readers who participated in Information Security's 2007 Priorities Survey. For years, organizations' security efforts focused on shoring up network perimeters. These days, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 focus has expanded to protecting sensitive corporate data from insiders--trusted employees and business partners--who might eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r maliciously steal or inadvertently leak information.


That sounds reasonable. As I see it, however, this shift to focus on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "inside threat" risks missing threats that are far more abundant.

First things first. Inside threat is not new. Check out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lead line from a security story:

You've heard it time and time again: Insiders constitute cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 greatest threat to your organization's security. But what can you do about it?

That's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lead from a July 2000 Information Security article called "Managing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Threat from Within".

Let's think about this for a moment. InfoSecMag in Dec 2006 mentioned that "organizations' security efforts focused on shoring up network perimeters," so turning inwards seems like a good idea. Wasn't looking inwards a good idea already in 2000? I'm probably not communicating my point very well, so here is anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r excerpt from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same Dec 2006 article:

Glen Carson, information security officer for California's Victim Compensation and Govern-ment Claims Board, says cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem stems more from a lack of user education than poor aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication.

His priority is education: explaining to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 350 users in his agency why data security is important and how it will help cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 long run.

"We recently completed a third-party security assessment and got a good test of our exterior shell, but internally our controls were lacking," he says.


I wonder if that "good test of our exterior shell" included client-side exploitation? I doubt it. Do you see where I am going?

Here's one ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r excerpt.

Mass-mailing worms may have gone cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 boot-sector virus, but that does mean security managers don't have malware on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir radar...

Yet cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re hasn't been a major outbreak since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sasser worm in 2004, so what's all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fuss? Security managers will tell you that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lack of activity says a lot about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 maturation of prevention technologies, advances in automated patch management tools, effectiveness of user awareness campaigns, and overall layered defense strategies.


Ok, are you laughing now? The reason why we're not seeing massive worms is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's no money to be made in it. Everything is targeted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se days. Even InfoSecMag admits it:

It's no secret that hacker motivations have changed from notoriety to money. Many of today's worms carry key-logging trojans that make off with your company's most precious assets. Attacks are targeted, often facilitated by insiders. Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than relying on social engineering to move infected email attachments from network to network, hackers are exploiting holes in browsers, using Javascript attacks to hijack Web sessions and steal data.

Exactly (minus cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "facilitated by insiders" part -- says who, and why bocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r when remote client-side attacks are so easy?)

Here's my point: why are security managers so worried about Eva cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Engineer or Stan cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Secretary when Renfro cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Romanian is stealing data right now. I read somewhere (I can't cite it now) that something like 70 million hosts on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet may be under illegitimate control. It may make sense to speak more of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of hosts not compromised instead of those that are compromised. In 2004 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 great book Rootkit claimed all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Fortune 500 was 0wned. Why do we think it's any different now?

It's possible that taking steps to control trusted insiders will also slow down outsiders who have gained a foothold inside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprise. However, I don't see too many people clamping down on privileged users, and guess who powerful outsiders will be acting as when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 compromise a site?

Of course we should care about insiders, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 insider threat is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only threat you can control. Outsiders are far more likely to cause an incident because, especially with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rise of client-side attacks, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are constantly interacting with your users. The larger cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of users you support, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 greater cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of targets an outsider can exploit. Sure, more employees means more insider threats, but let's put this in perspective!

The fact that you offer a minimal external Internet profile does not mean you're "safe" from outsiders and that you can now shift to inside threats. The outsiders are deadlier now than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y've ever been. They are in your networks and acting quietly to preserve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir positions. Give Eva and Stan a break and don't forget Renfro. He's already in your company.

7 comments:

Anonymous said...

The reason that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is not too much clamping down on privileged users is probably that it is much harder to do, and leads to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same problems as network security does in terms of interoperability, due to a band-aid fix mentality. Why else would only a handful of about a thousand security vendors address cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 insider threat?

A solution that impedes business data flow, such as disallowing USB thumb drives, trades one problem for anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, and is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reason for user resistance. A proper solution would allow USB keys usage for unclassified data, but not sensitive data. Same for ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r devices.

Dan Verton wrote in his book "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Insider" :

“…from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 insider threat perspective cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 age-old security equation of:

Security=People+Process+Policy+Technology

may need to be adjusted, placing a heavier weighting on technology. The insider threat is one area of security where people,process and policy have rarely, if ever, proven to be an effective deterrent.”

The author goes on to say that “technology will necessarily become a corporation’s “insurance” against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 inevitable: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 failure of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 people, policy and process security equation”.

Anonymous said...

Hey, why does Renfro get a pass?

But seriously, what do you think about looking at it from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potential damage of insiders versus outsiders?

I mean an insider, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're planning to remain inside, often has a long-term "bleed" attack style, while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outsider is far less likely to know how to manage this properly. There is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat of catastrophe or cut and run, but I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 likelihood is lower if basic precautions are taken and warning signs observed. From that perspective, those who worry about insiders are often cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same people who worry about operational efficiency and accuracy. Those who worry about outsiders are often those who are most concerned with reputation or profile.

So cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 in/out dichotomy doesn't need to be answered as though it is mutually exclusive, but racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r from within a system of risk management tailored to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business.

Unknown said...

Nice post, Richard. I'm glad you left this to be on its own.

We *should* be angry about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lack of attention to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 insider threat, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 warped view of it when people do look at it. Insider threats are older than technology. Technology just lets cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m be more efficient, just like technology makes business more efficient.

Technology is not a cure for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 insider threat. Too often technology is a crutch that poor mgmt leans on to somehow enforce ethics and prevent insider threats. We can help limit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack footprint of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 insider, but we can't really prevent threats. We can track and audit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 insider threat, but it is difficult to actually stop his/her attack.

Sadly, as much as IT can get away with protecting against external threats and those subsequent attacks, turning an eye inwards makes people uneasy, like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're automatically distrusting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own people. Also, security measures tend to be intrusive to privacy and impeding to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business. This is still unsettling to mgmt and makes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m feel like IT/security impedes business instead of protecting it.

Of course, you could just focus on making all of your employees so terribly happy that you don't have to worry as much about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 insider threat. You can give cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 allowances that technology can give (like instead of removing local admin rights, give it to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m and let cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m be happy on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 box...which, curiously, can improve productivity...happy=productive). Definitely organization-specific in how you deal with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat.

Anonymous said...

Lonervamp,

Your happy camper cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ory is nice-in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ory.

Even happy employees can be compromised though, by blackmail, money for gambling or addiction. What if your sysadmin's family is kidnapped and he is coerced into handing over mission critical secrets? Also, everyone has a price where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can be bought it seems.

Read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 quote in my comment above by Dan Verton, about people, policy and process rarely acting as a deterrent against desparate or vengeful employees. How do you protect against an employee whose goal is to bring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company down? Auditing after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact will be too late if he dumps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data.

I come at this from a different position than you. I am with a vendor whose product converts commercial discretionary access control systems into multilevel/trusted security systems that can protect down to a single file.

It can be transparent to users and does not interfere with data flow. Users only need to have access to data to do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir work, and no more. They can play at home. You should see how productivity goes up if you take away access to distractions.

Ignoring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threats can actually be threatening cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very existence of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business entity. Stats show that a major breach often leads to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 demise of small or even medium businesses, and it does not matter whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r it is insider or external source.

If you can not be 100% sure that you can trust all employees, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n you must be able to trust cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system or data.

Gary said...

Hi Richard.

I think you're providing a false dichotomy. Organizations need to secure secure not against eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 inside or outside threats, but both. Fucusing all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir efforts on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 corporate firewall neglects a substantial part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 total risk, just as concentrating solely on wayward employees would do.

In my experience, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 insider threat has been underappreciated for a long time and continues to be widely ignored, partly because "we trust our people" (as if that answers anything!) and partly because doing anything about it is hard, especially for out-and-out technologists. Effective security awareness programs require communications and motivational skills beyond cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 average Info Sec Pro's capabilities.

Have you read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stuff coming out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Jericho Forum? They are taking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 line that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se days cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 corporate firewall is so much like Swiss cheese anyway that we might as well forget about it as a defensive structure and concentrate on securing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 applications and servers sitting on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LAN.

Nice piece anyway. Thanks for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stimulation and best wishes for 2007.

Gary.

Unknown said...

@rob: You're right, I hadn't meant to imply you can out-nice your employees and be safe. I think I exagerrated to make my point. :) Of note, I'm cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opposite. Take away my distractions (I am an adult, or so it looks anyway, and can behave on my own) and I'll be less happy and less productive. At any rate, this is why security is such a varied industry. Every org and everyone is different, and few solve similar problems in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same ways.

Also, I'd racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r just write off workstations as indefensible anymore. :)

Anonymous said...
This comment has been removed by a blog administrator.